安全专家：真实的网络攻击取证纪实

核心提示： 提取可疑文件（病毒、木马、后门、恶意广告插件）——在系统文件目录利用第三方或者自开发软件，对可疑文件进行提取并进行深度分析，安全专家：真实的网络攻击取证纪实(2)，上述步骤是我个人总结的，有不妥的地方还请朋友们指正，那就肯定是有人做了手脚，可以第一时间发现黑客入侵行

提取可疑文件（病毒、木马、后门、恶意广告插件）——在系统文件目录利用第三方或者自开发软件，对可疑文件进行提取并进行深度分析。

上述步骤是我个人总结的，有不妥的地方还请朋友们指正，介绍完理论，我们来实践处理下这两台服务器。

A服务器检查处理过程

该A服务器所装的操作系统是Advanced 2000 server，服务器上安装的有瑞星2008杀毒软件，病毒库已经更新到最新版本。但是并没有安装网络防火墙和其他系统监视软件，安装的ftp服务器版本为server-u 6.0（存在溢出攻击的威胁）

一 对原始数据进行恢复

利用Datarecover软件来恢复一些被删除的文件,目的是希望从被删除的文件来找出一些木马或者后门以及病毒。进行深度分析，把曾经做过的格式化，以及在回收站中删除过的文件恢复过来，但是遗憾的是成功拿下这台服务器权限的黑客已经做了专业处理，把他的一些痕迹进行了全面清理，个人认为他使用了日本地下黑客组织开发的专项日志清除工具，经过我和助手的共同努力还是把系统日志恢复到当年5月份。

二 手工分析可疑文件

在本服务器的c盘根目录下面有一个sethc..exe 文件。这个文件是微软自带的，是系统粘制键，真实的大小应为27kb，而这个文件为270kb，起初我以为是由于打补丁的原因。但是经过翻阅一些资料和做比对之后，才知道这样的文件是一个新开发的流行后门，主要用法：通过3389终端，然后通过5次敲击shift键，直接调用sethc.exe而直接取得系统权限。随后达到控制整个服务器，通常他还是通过删除正常的一些c盘exe文件。然后把自己伪造成那个所删除的exe文件名。造成一种假象。

这里我们提供解决方法如下：个人建议这个功能实用性并不高，建议直接删除这个文件，如果有人利用这个手法来对你的服务器进行入侵，那就肯定是有人做了手脚，可以第一时间发现黑客入侵行为，也可以作为取证分析的一个思路；在控制面板的辅助功能里面设置取消粘制键。